Продовжує свою пригнічуючу ходу по Мережі, заражаючи комп'ютери та шифруючи важливі дані. Як захиститися від шифрувальника, захистити Windows від здирника – чи випущені латки, патчі, щоб розшифрувати та вилікувати файли?
Новий вірус-шифрувальник 2017 Wanna Cryпродовжує заражати корпоративні та приватні ПК. У щерб від вірусної атаки налічує 1 млрд доларів. За 2 тижні вірус-шифрувальник заразив щонайменше 300 тисяч комп'ютерівнезважаючи на попередження та заходи безпеки.
Вірус-шифрувальник 2017, що це- Як правило, можна «підчепити», здавалося б, на найнешкідливіших сайтах, наприклад, банківських серверах з доступом користувача. Потрапивши на жорсткий дискжертви, шифрувальник «осідає» в системній папці System32. Звідти програма відразу відключає антивірус і потрапляє до «Автозапуску». Після кожного перезавантаження програма-шифрувальник запускається до реєструпочинаючи свою чорну справу. Шифрувальник починає завантажувати собі подібні копії програм типу Ransom та Trojan. Також нерідко відбувається самореплікація шифрувальника. Процес цей може бути миттєвим, а може відбуватися тижнями – доти, доки жертва помітить недобре.
Шифрувальник часто маскується під звичайні картинки, текстові файли , Але сутність завжди одна - це виконувані файли з розширенням.exe, .drv, .xvd; іноді – бібліотеки.dll. Найчастіше файл несе цілком невинне ім'я, наприклад « документ. doc», або « картинка.jpg», де розширення прописано вручну, а істинний тип файлу прихований.
Після завершення шифрування користувач бачить замість знайомих файлів набір «рандомних» символів у назві та всередині, а розширення змінюється на досі невідоме - .NO_MORE_RANSOM, .xdataта інші.
Вірус-шифрувальник 2017 Wanna Cry - як захиститися. Хотілося б відразу відзначити, що Wanna Cry – скоріше збірний термін всіх вірусів шифрувальників і здирників, оскільки останнім часом заражав комп'ютери найчастіше. Отже, мова піде про з захистіть від шифрувальників Ransom Ware, яких безліч: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.
Як захистити Windows від шифрувальника. – EternalBlue через протокол SMB портів.
Захист Windows від шифрувальника 2017 – основні правила:
- оновлення Windows, своєчасний перехід на ліцензійну ОС (примітка: версія XP не оновлюється)
- оновлення антивірусних баз та файрволлів на вимогу
- гранична уважність при завантаженні будь-яких файлів (милі «котики» можуть обернутися втратою всіх даних)
- резервне копіювання важливої інформаціїна змінний носій.
Вірус-шифрувальник 2017: як вилікувати та розшифрувати файли.
Сподіваючись на антивірусне програмне забезпечення, можна забути про дешифратора на деякий час. У лабораторіях Касперського, Dr. Web, Avast!та інших антивірусів поки не знайдено рішення щодо лікування заражених файлів. на даний моментє можливість видалити вірус за допомогою антивірусу, але алгоритмів повернути всі «на круги своя» поки що немає.
Деякі намагаються застосувати дешифратори типу утиліти RectorDecryptorале це не допоможе: алгоритм для дешифрування нових вірусів поки не складено. Також абсолютно невідомо, як поведеться вірус, якщо він не видалений, після застосування таких програм. Часто це може обернутися стиранням всіх файлів – для науки тим, хто не хоче платити зловмисникам, авторам вірусу.
На даний момент найефективнішим способом повернути втрачені дані – це звернення до тих. підтримку постачальника антивірусної програмиВи використовуєте . Для цього слід надіслати лист, або скористатися формою для зворотного зв'язкуна сайті виробника. У вкладення обов'язково додати зашифрований файл і, якщо така є копія оригіналу. Це допоможе програмістам у складанні алгоритму. На жаль, для багатьох вірусна атакастає повною несподіванкою, і копій немає, що у рази ускладнює ситуацію.
Кардіальні методи лікування Windows від шифрувальника. На жаль, іноді доводиться вдаватися до повному форматуваннювінчестера, що тягне у себе повну зміну ОС. Багатьом спаде на думку відновлення системи, але це не вихід – навіть є «відкат» дозволить позбутися вірусу, то файли все одно залишаться зашированими.
Коротко: Для захисту даних від вірусів-шифрувальників можна використовувати зашифрований диск на основі крипто-контейнера, копію якого необхідно тримати у хмарному сховищі.
- Аналіз криптолокерів показав, що вони шифрують тільки документи і файл контейнер від зашифрованого диска не представляє інтерес для криптолокерів.
- Файли всередині такого крипто-контейнера недоступні для вірусу, коли диск вимкнено.
- А оскільки Зашифрований Диск включається тільки в момент, коли необхідно попрацювати з файлами, то висока ймовірність, що криптолокер не встигне його зашифрувати або виявить себе до цього моменту.
- Навіть якщо криптолокер зашифрує файли на такому диску, ви зможете легко відновити резервну копію крипто-контейнера диска хмарного сховищаяка автоматично створюється раз на 3 дні або частіше.
- Зберігати копію контейнера диска у хмарному сховищі безпечно та легко. Дані в контейнері надійно зашифровані, а значить Google або Dropbox не зможуть зазирнути всередину. Завдяки тому, що крипто-контейнер це один файл, закачуючи його в хмару ви насправді закачуєте всі файли та папки які всередині нього.
- Крипто-контейнер може бути захищений не лише довгим паролем, а й електронним ключем типу rutoken з дуже стійким паролем.
Віруси-шифрувальники (ransomware) такі як Locky, TeslaCrypt, CryptoLocker та криптолокер WannaCry призначені для вимагання грошей у власників заражених комп'ютерів, тому їх ще називають "програми-вимагачі". Після зараження комп'ютера вірус шифрує файли всіх відомих програм (doc, pdf, jpg ...) і потім вимагає гроші за їх зворотне розшифрування. Постраждалій стороні, швидше за все, доведеться заплатити пару сотень доларів, щоб розшифрувати файли, оскільки це єдиний спосіб повернути інформацію.
Якщо інформація дуже дорога ситуація безвихідна, і ускладнюється тим, що вірус включає зворотний відлік часу і здатний самоліквідуватися не давши вам можливості повернути дані якщо ви дуже довго думатимете.
Переваги програми Rohos Disk Encryption для захисту інформації від криптовірусів:
- Створює крипто-контейнер для надійного захисту файлів та папок.
Використовується принцип шування на льоту та стійкий алгоритм шифрування AES 256 Біт. - Інтегрується з Google Drive, Dropbox, Хмара Mail.ru , Yandex Диск.
Rohos Disk дозволяє цим службам періодично сканувати крипто-контейнер і завантажувати в хмару тільки зміни зашифрованих даних, завдяки чому хмара зберігає кілька ревізій крипто-диска. - Утиліта Rohos Disk Browser дозволяє працювати з крипто-диском так, щоб інші програми (у тому числі і віруси) не мали доступу до цього диску.
Кріпто-контейнер Rohos Disk
Програма Rohos Disk створює крипто-контейнер та букву диска для нього в системі. Ви працюєте з таким диском як завжди, всі дані на ньому автоматично шифруються.
Коли крипто-диск вимкнений, він недоступний для всіх програм, у тому числі й для вірусів шифрувальників.
Інтеграція з хмарними сховищами
Програма Rohos Disk дозволяє розмістити крипто-контейнер у папці служби хмарного сховища та періодично запускати процес синхронізації крипто-контейнера.
Підтримувані служби: Google Drive, Dropbox, Хмара Mail.ru, Yandex Диск.
Якщо крипто-диск був включений, сталося зараження вірусом і вірус почав шифрувати дані на крипто-диску у вас є можливість відновити образ крипто-контейнера з хмари. Для відомості - Google Drive і Dropbox здатні відстежувати зміни у файлах (ревізії), зберігають лише змінені частини файлу і тому дозволяють відновити одну з версій крипто-контейнера з недавнього минулого (зазвичай це 30-60 днів залежно від вільного місцяна Google Drive).
Утиліта Rohos Disk Browser
Rohos Disk Browser дозволяє відкривати крипто-контейнер у режимі провідника без того, щоб робити диск доступним на рівні драйвера для всієї системи.
Переваги такого підходу:
- Інформація з диска відображається лише у Rohos Disk Browser
- Жодна інша програма не може отримати доступ до даних з диска.
- Користувач Rohos Disk Browser може додавати файл або папку, відкрити файл та робити інші операції.
Повний захист даних від шкідливих програм:
- Файли недоступні іншим програмам, зокрема Windows.
Чи існує захист від шифрувальника на сьогоднішній день? Ні. Як би сумно це не звучало, але це справді так. Реального захисту немає і, мабуть, не буде. Але не варто засмучуватись, є ряд простих правил, дотримання яких допоможе знизити ризик зараження вашого комп'ютера. Перед тим, як я дам список рекомендацій, хочу заздалегідь сказати, що в цій статті я не рекламую ніяких антивірусів, а просто описую власний досвід, тому що в офісі вже двічі ловили цього шкідника. Після цих випадків і вийшов перелік рекомендацій.
Отже, насамперед варто переконатися в наявності у вас життєвого антивіруса зі свіжими базами на борту. Ми з колегами проводили експерименти з різними продуктами антивірусних компаній, на підставі одержаних результатів можу сміливо заявити, що найкращий результат показав дистрибутив Лабораторії Касперського. Ми працювали з Kaspesky Endpoint Security для бізнесу Стандартний. Число спрацьовувань на шифрувальника було більше 40%. Тому сміливо ставте антивірус, не гидуйте такими програмами.
Другим пунктом варто заборонити запуск програм із папки %AppData%. Знову ж таки, не факт, що шифрувальник працює саме з цієї папки, але як превентивний захід він себе виправдовує, скорочуючи кількість можливих векторів атак. Також шкідливість може запускатися з:
- %TEMP%
- %LOCALAPPDATA%
- %USERPROFILE%
- %WinDir%
- %SystemRoot%
Найважливішим пунктом та червоною ниткою через всю статтю лежить пункт про те, що необхідно та вкрай важливо робити резервні копії. Якщо вдома ви можете використовувати безкоштовну хмару для зберігання даних, то на робочому місці така можливість є не у всіх. Якщо ви системний адміністратор, придумайте та запустіть резервне копіювання. Якщо ви не належите до IT-відділу, уточніть у свого системного адміністраторапро наявність резервного копіюваннякритично важливих даних Можете також продублювати їх у хмару. Благо безкоштовних варіантів досить багато: Яндекс Диск, Mail хмара, DropBox, Google Disk та інше.
Технічними засобами захиститися від шифрувальника практично неможливо. Тому першою лінією оборони у разі виступає сам користувач. Тільки знання та уважність можуть допомогти уникнути зараження. Найголовніше ніколи не переходьте за посиланнями та не відкривайте вкладення в листах від невідомих вам відправників. Інакше з великою ймовірністю ризикуєте втратити свої дані.
Дуже уважно перевіряйте зворотну адресу в листі, а також вкладення. Якщо ви чекаєте на лист із вкладенням від знайомого або контрагента по роботі, при отриманні такого листа переконайтеся, що лист саме від того, від кого ви чекаєте. Нехай це займе деякий час, але витрачений на перевірку час може зекономити добу відновлення даних.
За найменших підозр на компрометуючий лист негайно звертайтеся до своєї служби IT. Повірте, вам за це тільки спасибі скажуть.
Деякі різновиди шифрувальника використовують командні сервери в мережі Tor. Перед початком шифрування вони завантажують тіло вірусу із цих серверів. Мережа Tor має кілька вихідних вузлів у "великий" інтернет, які називаються нодами. Є публічні ноди, а є приховані. Як частина привентивних заходів можна на своєму роутері, якщо він дозволяє, заблокувати відомі вихідні ноди, щоб максимально ускладнити роботу вірусу. Список таких адрес можна знайти на просторах інтернету, зараз їх близько семи тисяч.
Звичайно, все описане вище не дає жодних гарантій, що ви не потрапите до списку жертв, але ці рекомендації допоможуть знизити ризик зараження. Поки не розроблено реального захисту від шифрувальника, наша головна зброя – це уважність та обережність.
Нова шкідлива програма-вимагач WannaCry (має також низку інших назв — WannaCry Decryptor, WannaCrypt, WCry та WanaCrypt0r 2.0), заявила про себе світу 12 травня 2017 року, коли файли на комп'ютерах у кількох закладах охорони здоров'я у Великобританії виявилися зашифрованими. Як незабаром з'ясувалося, у подібній ситуації опинилися компанії у десятках країн, а найбільше постраждали Росія, Україна, Індія, Тайвань. За даними Лабораторії Касперського, тільки в перший день атаки вірус був виявлений в 74 країнах.
Чим небезпечний WannaCry? Вірус шифрує файли різних типів(отримуючи розширення.WCRY, файли стають повністю нечитаними) і потім вимагає викуп у розмірі 600 дол. за розшифровку. Щоб прискорити процедуру переказу грошей, користувача залякують тим, що через три дні сума викупу збільшиться, а через сім днів файли взагалі неможливо буде розшифрувати.
Загрозі заразитися вірусом-шифрувальником WannaCry схильні комп'ютери на базі операційних систем Windows. Якщо ви використовуєте ліцензійні версії Windowsі регулярно виконуєте оновлення системи, то можете не переживати, що вірус проникне у вашу систему саме цим шляхом.
Користувачам MacOS, ChromeOS та Linux, а також мобільних операційних систем iOS та Android атак WannaCryвзагалі не варто боятися.
Що робити, якщо ви стали жертвою WannaCry?
Британське Національне агентство з боротьби зі злочинністю (NCA) рекомендує малому бізнесу, який став жертвою здирників і стурбований поширенням вірусу через мережу, вжити таких дій:
- Негайно ізолюйте комп'ютер, ноутбук чи планшет від корпоративної/внутрішньої мережі. Вимкніть Wi-Fi.
- Змініть драйвера.
- Не підключаючись до мережі Wi-Fi, безпосередньо підключіть комп'ютер до Інтернету.
- Оновіть операційну систему та інше програмне забезпечення.
- Оновіть та запустіть антивірусник.
- Повторно підключіться до мережі.
- Здійсніть моніторинг мережного трафіку та/або запустіть сканування на віруси, щоб переконатися в тому, що шифрувальник зник.
Важливо!
Файли, зашифровані вірусом WannaCry, неможливо розшифрувати ніким, крім зловмисників. Тому не витрачайте час і гроші на тих «ІТ-геніїв», які обіцяють вас позбавити цього головного болю.
Чи варто платити гроші зловмисникам?
Перші питання, які ставлять користувачі, які зіткнулися з новим вірусом-шифрувальником WannaCry, — як відновити файли та як видалити вірус. Не знаходячи безкоштовних та ефективних способіврішення, вони стоять перед вибором — чи платити гроші здирнику чи ні? Оскільки часто користувачам є що втрачати (у комп'ютері зберігаються особисті документи та фотоархіви), бажання вирішити проблему за допомогою грошей справді виникає.
Але NCA наполегливо закликає неплатити гроші. Якщо ж ви все-таки наважитеся це зробити, то майте на увазі таке:
- По-перше, немає жодної гарантії, що ви отримаєте доступ до своїх даних.
- По-друге, ваш комп'ютер і після оплати, як і раніше, може залишатися зараженим вірусом.
- По-третє, ви, швидше за все, просто подаруєте свої гроші кіберзлочинцям.
Як захиститись від WannaCry?
Які дії вжити, щоб запобігти зараженню вірусом, пояснює В'ячеслав Білашов, керівник відділу впровадження систем захисту інформації СКБ Контур:
Особливість вірусу WannaCry полягає в тому, що він може проникнути в систему без участі людини, на відміну від інших вірусів-шифрувальників. Раніше для дії вірусу вимагалося, щоб користувач виявив неуважність - перейшов за сумнівним посиланням з листа, який насправді йому не призначався, або скачав шкідливе вкладення. У випадку з WannaCry експлуатується вразливість, що є безпосередньо в операційній системі. Тому насамперед у групі ризику опинилися комп'ютери на базі Windows, на яких не встановлювалися оновлення від 14 березня 2017 року. Достатньо однієї зараженої робочої станції зі складу локальної мережіщоб вірус поширився на інші з наявною вразливістю.
У постраждалих від вірусу користувачів є закономірним одне головне питання — як розшифрувати свою інформацію? На жаль, поки що гарантованого рішення немає і навряд чи передбачається. Навіть після сплати зазначеної суми проблема не вирішується. До того ж ситуація може посилитися тим, що людина, сподіваючись відновити свої дані, ризикує використовувати нібито «безкоштовні» дешифрувальники, які насправді теж є шкідливими файлами. Тому головна порада, яку можна дати, — бути уважними і зробити все можливе, щоб уникнути подібної ситуації.
Що саме можна і необхідно зробити зараз:
1. Встановити останні оновлення.
Це стосується не лише операційних систем, а й коштів антивірусного захисту. Інформацію щодо оновлення Windows можна дізнатися.
2. Зробити резервні копії важливої інформації.
3. Бути уважними під час роботи з поштою та мережею інтернет.
Необхідно звертати увагу на вхідні листи із сумнівними посиланнями та вкладеннями. Для роботи з мережею Інтернет рекомендується використовувати плагіни, які дозволяють позбутися непотрібної реклами та посилань на потенційно шкідливі джерела.